工业控制系统网络安全等级保护的建设

摘要：【文献标志码，【文章编号，制定统一的工控系统安全管理规范，如保证工控系统设备的运行能满足最大生产需求，优化系统拓扑结构，杜绝系统单点漏调整安全网关策略，防范包括（分布式拒绝服务）在内的各种安全风险在系统中部署入侵防御系统IDS）.入侵检测系统QPS）、安全管理软件等，监测来自系统内外部的入侵署工控系统审计系统，对系统的操作、修改、设置等实行审计并记翻佥证所有连接系统的用户身份，杜绝无相应权限的用户进行管理配置的操作安装系统数据检查设施，依托数据采集技术，制定管理基线，依据系统实际情况管理和放行数据多种登录方式，如声纹识别、面部识别等生物信息技术，实行双因子登止远程管理系统主机和防火墙，若有实际需求，应当使用密文，防止用户身份信息在传输中被盗能防范无认证设施接入系统，防止信息资产流失许新锋ConstructionoftheNetworkSecurityLevelProtectionofIndustrialControlSystemXUXin-feng(ZhengzhouUniversityofLightIndustry，Zhengzhou450000，China)【摘要】现代卷烟工业企业的两化融合程度越来越高，网络的触角已经延伸到各个业务角落，工控网络安全风险也越来越突出。因而，如何建立一个高质量、稳固牢靠的工控系统网络成为现代卷烟工业企业工控系统建设的一个重要组成部分。论文剖析了现代卷烟工业企业工控系统安全等保2.0的情况，综合工控系统实际需求，提出等保工作部署的基本策略。[Abstract]Theintegrationdegreeofmodernizationandindustrializationofmoderncigaretteindustrialenterprisesisgettinghigherandhigher，thenetwork"stentacleshavebeenextendedtovariousbusinesscorners，andindustrialcontrolnetworksecurityriskshavebecomeincreasinglyprominent.Therefore，howtobuildahigh-quality，stableandreliableindustrialcontrolsystemnetworkhasbecomeanimportantpartoftheindustrialcontrolsystemconstructionofmoderncigaretteindustryenterprises.Thispaperanalyzesthesafetyandsecurityguarantee2.0oftheindustrialcontrolsystemofmoderncigaretteindustrialenterprises,andcombinedwiththeactualneedsoftheindustrialcontrolsystem，itproposesthebasicstrategyofthelevelprotectionworkdeployment.【关键词】工业控制系统;安全防护体系建设;部署建议;边界控制[Keywords]industrialcontrolsystem;securityprotectionsystemconstruction;deploymentproposal;boundarycontrol【中HI分类号】TB4【文献标志码】A【文章编号】1673-1069(2020)03-0112-021【中HI分类号】TB4【文献标志码】A【文章编2网络安全等级保护的意义工控系统安全等保指对控制系统内的隐秘信息和控制信息及公共信息实行分层分级防护，对工控系统中的防护设施实行分层分级管理，对面临的工控系统安全问题构建相应的分级应急预案。这种工控系统安全保护体系共包含五个级别：自主、指导、监督、强制、专控。各层级信息的机密性各不一样，相应的层级就有对应的保护策略o2019年，我国颁布了网络安全等保2.0的国家标准，本标准对提高工控系统等保工作具有很强的指导意义。3工控系统网络安全等级保护的现状按照新的等保2.0国家标准要求，大多数卷烟工业企业工控系统在制度、基础设施、技术方面存在漏洞和风险，工控系统安全保护体系有待提高。其中，下面几个问题表现较为突出。3.1工控系统网络安全管理工作尚需进一步加强工控系统网络安全管理制度仍有待提高，对数据资产、外包服务、软件更新迭代等方面的管理缺少相关规定。工控系统安全管理体系尚不完善，缺乏对专业系统管理人员和系统维修人员持续性的跨专业梯度式的技能培训。各个工控系统的运行管理不规范，对工控系统日常运维造成隐患。3.2工控系统网络架构存在较为明显的脆弱性和安全隐患大多数的工业控制系统都为内网连接，虽然安装有防火墙，也对所有的连接行为进行过滤，但是大多数的防火墙安全配置及操作流程都不够严谨。虽然卷烟工业企业内部网络设置了安全隔离和访问链接名单过滤策略，但是随着信息技术的发展，因安全补丁与工控程序不兼容或者没有相应的安全补丁等原因，造成各个工控系统无法及时更新各项安全补丁，导致工控系统存在较高的安全风险。3.3工控系统服务器环境抵御攻击能力较低工业控制系统的运行服务器系统补丁没有及时对照各大主要安全网站发布的漏洞进行更新，存在如勒索病毒、简单密码、全端口开放等高危漏洞;有的工控程序与防护软件无法兼容，或者防护软件无法及时更新自身病毒库，缺乏对恶意代码的防范手段，一旦有个别工控系统的电脑感染恶意代码，稍不注意，就会致使系统内部现场终端大面积感染病毒木马。3.4工控系统安全防范措施缺失大多数运行在生产网的工控系统存在大量漏洞；工业控制系统的用户识别、数据安全、加密传输等方面的配置策略不够严密，未严格按照最小原则进行配置再加上一些其他的系统安全隐患，就会对工控系统的运行安全、信息安全、生产安全等造成重大影警。3.5信息资产安全保护能力较低缺乏对专用网络的数据信息实行分级分类管控，缺少信息资产防护手段，部分专用网络中未对口令设定强制定期更换策略、禁用弱口令策略、禁止远程代码执行等配置策略，存在高风险漏洞，极易被恶意程序攻击利用。3.6欠缺基础的物理安全保障部分工控系统机房与控制室连通，主观上认为出入机房的人员都是技术维修等内部人员，未对进出人员实行鉴别和登记制度，存在工控机房被恶意破坏的风险。部分机房未安装门禁系统，未安装防盗报警或监控无防盗报警功能，未安装防水防雷等物理安全基础保障。4工控系统安全防护体系部署建议4.1工控系统安全防护体系构建根据国家等保2.0标准的基本思想，构建网络安全防护体系［1］。最高层负责制定"总体策略"，总体策略是工控系统安全防护体系的基本策略。工控系统安全防护体系的第二层是"组织架构"，既要保证工控系统工作时系统保密性，也要保证工控系统的管理体系高效稳定。工控系统安全防护体系的第三层是"制度架构"，分别从管理及职责、硬件管控、建设管控、运行管控、风险管控、应急预案和队伍建设等方面做出相应的管控要求。工控系统安全防护体系的第四层是规定各项标准配置的方法和相应的配置流程以及记录活动内容，包括平常各项操作的实行，各项操作的详细配置、实行流程、实行规范等，指导日常活动的正常实行。4.2安全域划分根据工控系统安全防护体系，将工控系统各大安全域重新划分。制定统一的工控系统安全管理规范，如保证工控系统设备的运行能满足最大生产需求，优化系统拓扑结构，杜绝系统单点漏洞;调整安全网关策略，防范包括（分布式拒绝服务）在内的各种安全风险在系统中部署入侵防御系统（IDS）、入侵检测系统（IPS）、安全管理软件等，监测来自系统内外部的入侵部署工控系统审计系统，对系统的操作、修改、设置等实行审计并记录[2];验证所有连接系统的用户身份，杜绝无相应权限的用户进行管理配置的操作;安装系统数据检查设施，依托数据采集技术，制定管理基线，依据系统实际情况管理和放行数据;增加多种登录方式，如声纹识别、面部识别等生物信息技术，实行双因子登录;防止远程管理系统主机和防火墙，若有实际需求，应当使用密文，防止用户身份信息在传输中被盗取能防范无认证设施接入系统，防止信息资产流失。4.3安全边界控制根据以上安装的系统安全管理软件和硬件设定相适应的管理策略，进而完成对系统的边界管控[3]。基本策略包含：管理网运行安全，必需通过边界防护规则的过滤和访问审查专用网运行安全，最小原则规定用户身份和浏览权限，必需通过边界防护规则的过滤和访问审查，其他安全域及用户均不能直连;管理网信息安全，只开放其他域的服务器连通权限，其他安全域用户无法直连，如访问数据域，需有相应的授权信息，必需通过边界防护规则的过滤和访问审查专用网信息安全，仅开放本地安全域的服务器连通权限，其他安全域及用户均不能直连，如需连接应有相应的授权信息;域间交互安全，不同安全域间的数据交互，实行摆渡机与特定协议相结合的形式;更新安全，更新域列为灰色域，仅有部分开放的系统连通权限，访问行为必需通过边界防护规则的过滤和访问审查;密码管理，一切使用密码的系统防护设施，使用的算法为国产密码算法;日志管理，入侵检测系统、入侵防护系统、防火墙、安全网关、审计记录的日志一律传送至安全区的内网管理系统存档和剖析分布式主机管理，现场主机一律安装网御之类的客户端，且能管控现场主机的各项设置，连接监控、病毒防护，打安全补丁等设备自主知识产权，工控系统安全防护体系所涉及的安全防护设施，都应具有完全的中国自主知识产权，防止出现类似于手机行业的针对性事件发生。5结语工控系统等保工作关系到卷烟工业企业的生产安全，作为一项防护工程，需要全体人员的密切合作，应尽快夯实安全保护的基础，在保证工控系统运行的高效性、可靠性的同时，充分提高